通过 GPO 限制用户在其桌面、我的文档、我的音乐、我的视频、我的图片等上保存内容

Question 1

如果您使用的是 Windows Server 2008，那么这非常简单。

创建组策略对象，转到Computer Configuration> Policy> Windows Settings> Security Settings>File System
右键单击并添加%userprofile%\Desktop....等等，以添加您想要限制访问的不同文件夹。
为用户或用户组指定指定文件夹的权限。

Answer

如果您使用的是 Windows Server 2008，那么这非常简单。

创建组策略对象，转到Computer Configuration> Policy> Windows Settings> Security Settings>File System
右键单击并添加%userprofile%\Desktop....等等，以添加您想要限制访问的不同文件夹。
为用户或用户组指定指定文件夹的权限。

Question 2

使用登录脚本可以实现这一点，但有点棘手，需要进行测试以确保它在目标环境中正常工作。它对 ACL（系统、管理员和用户）中的 ACE 条目做出假设，并且假设用户是所有者（通常都是所有者）。它不是万无一失的安全性，但它可以帮助最大限度地减少随意的“将 2 GB 的 iso 文件保存到漫游配置文件桌面文件夹”的情况。

概括地说，当用户登录时，在最后一个登录脚本的末尾，ACL 他们的桌面和其他位置，以便他们具有读取和执行权限。

在 logOFF 脚本中，将权限恢复正常。

在登录脚本开始时，还应该进行检查，以便在注销脚本失败的情况下将权限重置为正常。

有多种 ACL 工具可供使用：icacls、fileacl、setacl。

可以使用以下 PowerShell 语法确定正确的路径：

[Environment]::GetFolderPath("DesktopDirectory")

应该使用它来确保操作在重定向位置而不是本地位置执行。

要获取所有环境特殊文件夹位置的列表：

[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])

通常会返回：

桌面
程序
个人
MyDocuments
收藏
夹启动
最近
发送到
开始菜单
我的音乐
桌面目录
我的电脑
模板
应用程序数据
本地应用程序数据
InternetCache
Cookies
历史记录
CommonApplicationData
系统
程序
文件我的图片
CommonProgramFiles

请注意，有 Desktop 和 DesktopDirectory 特殊文件夹。

下面是使用 FileAcl 将用户的桌面文件夹设置为读取和执行的 PowerShell 命令示例：

$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs

要将文件夹设置为用户的修改权限，arg5 将是：

$arg5 =“ "" + $user + "“” + “：RWXD”

Answer

使用登录脚本可以实现这一点，但有点棘手，需要进行测试以确保它在目标环境中正常工作。它对 ACL（系统、管理员和用户）中的 ACE 条目做出假设，并且假设用户是所有者（通常都是所有者）。它不是万无一失的安全性，但它可以帮助最大限度地减少随意的“将 2 GB 的 iso 文件保存到漫游配置文件桌面文件夹”的情况。

概括地说，当用户登录时，在最后一个登录脚本的末尾，ACL 他们的桌面和其他位置，以便他们具有读取和执行权限。